Einheitliche Experience-Fähigkeiten und modale Bildschirme

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die folgende Tabelle beschreibt die Fähigkeiten und anwendbaren Bildschirme.

    Tabelle : 1.
    Fähigkeit UX-Frameworks-Bildschirme anwendbar Integrationen Unterstützt
    Bedrohungssuche durchführen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für „Bedrohungssuche ausführen“ gelten.

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • Virensumme
    • Hybridanalyse
    • Security Incident Response-Integration mit Zscaler
    • Phistank
    • Metadefender
    • Schwellenwert
    • Wurde ich verpfändet?
    • Crowd Strike Falcon Intelligence
    Anreicherung erkennbarer Elemente durchführen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für die Anreicherung erkennbarer Elemente ausführen gelten.

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • MISP
    • Microsoft Defender-Endpunkt
    • Shodan
    • Risiko-IQ
    • WHOIS
    • WHOIS umkehren
    Sichtungssuche Ausführen/Websichtungssuche Ausführen/E-Mail-Sichtungssuche Ausführen Bildschirm 1 – Wählen Sie Implementierungen Aus Und Bildschirm 2 – Allgemeine Eingaben Sind anwendbar.

    Die Sichtungssuche verwendet Datums- und Uhrzeithäufigkeit als allgemeine Eingaben für mehrere Implementierungen von Splunk und anderen Integrationen.

    Dieser Bildschirm wird dem Sicherheitsanalysten angezeigt, um Datums- und Uhrzeitfrequenzen zu erfassen.

    Für Integrationen, die diese Eingaben nicht erfordern, z. B. FireEye HX, werden sie ignoriert. Nachdem Sie eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben bereitgestellt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • Splunk-Incident-Anreicherung
    • Carbon Black
    • Elastische Suche
    • FireEye HX
    • McAfee ESM
    • MSFT-Defender für Endpunkt
    • Splunk-Sichtung
    • Qradar-Sichtungssuche
    • MISP
    An die Sandbox übermitteln Bildschirm 1 – Implementierungen auswählen und Bildschirm 3 – Implementierungsspezifische Eingaben sind anwendbar.

    „An Sandbox senden“ verwendet verschiedene Eingaben für verschiedene Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

    Wenn der Analyst beispielsweise CrowdStrike Falcon X-Schnellscan, CrowdStrike Falcon X Windows 64, CrowdStrike Falcon X Linux und Zscaler auswählt, variieren die Eingaben. CrowdStrike Falcon X-Schnellscan und Zscaler benötigen keine weiteren Laufzeiteingaben. CrowdStrike Falcon X Windows 64 verwendet optionale Laufzeiteingaben, die sich von CrowdStrike Falcon X Linux unterscheiden. Daher können diese auf Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.
    • CrowdStrike Falcon X Sandbox-Integration
    • Security Incident Response-Integration mit Zscaler
    In Beobachtungsliste veröffentlichen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für gelten In Beobachtungsliste veröffentlichen .

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.

    		 Crowdstrike-Falcon-Host
    Anforderung zulassen/blockieren Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen oder implementierungsspezifischen Eingaben, die für gelten Anforderung Zulassen/Blockieren .

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • Palo Alto-Netzwerk-NGFW
    • Prüfpunkt NGFW
    • Security Incident Response-Integration mit Zscaler
    Hostdetails abrufen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für das Abrufen von Hostdetails gelten.

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • FireEye HX
    • Microsoft Defender für Endpunkt
    Datei abrufen Bildschirm 1 – Implementierungen auswählen und Bildschirm 2 – allgemeine Eingaben sind anwendbar.

    „Datei abrufen“ verwendet den Dateinamen und den Pfad als allgemeine Eingaben. Nachdem Sie eine oder mehrere Implementierungen ausgewählt und allgemeine Eingaben bereitgestellt haben, kann der Sicherheitsanalyst die Aktion übermitteln.

    		 FireEye HX
    Netzwerkstatistiken abrufen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für das Abrufen von Netzwerkstatistiken gelten. Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • FireEye HX
    • Netstat
    Laufende Prozesse abrufen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für das Abrufen laufender Prozesse gelten.

    Daher wird dem Sicherheitsanalysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Sicherheitsanalyst die Aktion übermitteln.
    • FireEye HX
    • Carbon Black
    • Systembefehl
    Laufende Services abrufen Nur Bildschirm 1 – Implementierungen auswählen ist anwendbar.

    Es gibt keine allgemeinen Eingaben oder implementierungsspezifischen Eingaben, die für das Abrufen laufender Services gelten.

    Daher wird dem Analysten nur Bildschirm 1 angezeigt, um eine oder mehrere Implementierungen auszuwählen. Nachdem Sie die Implementierungen ausgewählt haben, kann der Analyst die Aktion übermitteln.

    		 FireEye HX
    Host Isolieren/Host-Isolierung Aufheben Bildschirm 1 – Implementierungen auswählen und Bildschirm 3 – Implementierungsspezifische Eingaben sind anwendbar.

    „Host isolieren“/„Host-Isolierung aufheben“ verwendet verschiedene Eingaben für verschiedene Implementierungen.

    Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden. Wenn der Analyst beispielsweise FireEye HX und Microsoft Defender für Endpunkt auswählt, variieren die Eingaben.

    FireEye HX benötigt keine Laufzeiteingaben. Microsoft Defender hingegen verwendet Eingaben wie Isolierungstyp und Kommentare.

    Daher können diese auf Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.
    • FireEye HX
    • Microsoft Defender-Endpunkt
    • Carbon Black
    Zusätzliche Aktionen ausführen Bildschirm 1 – Implementierungen auswählen und Bildschirm 3 – Implementierungsspezifische Eingaben sind anwendbar.

    Host „zusätzliche Aktionen ausführen“ verwendet verschiedene Eingaben für verschiedene Implementierungen. Für diese Fähigkeit sind derzeit keine allgemeinen Eingaben vorhanden.

    Wenn der Analyst beispielsweise FireEye HX-Standardskript für Untersuchungsdetails, FireEye HX-Selektierung und CrowdStrike-Falkeneinblick-Registrierungsentladung auswählt, variieren die Eingaben.

    FireEye HX – Standardskript für Untersuchungsdetails und FireEye HX-Selektierung nehmen Kommentare als Eingabe, die für beide unterschiedlich sein können. Das Entladen der CrowdStrike-Falcon-Einblickregistrierung verwendet den Unterschlüssel als Eingabe.

    Daher können diese auf Bildschirm 3 speziell für einzelne ausgewählte Implementierungen bereitgestellt werden.
    Hinweis:
    Unterstützt derzeit nur eine einzelne Auswahl von Implementierungen. In zukünftigen Releases wird die Mehrfachauswahl der Implementierung unterstützt.
    • FireEye HX
    • Microsoft Defender für Endpunkt
    • Crowdstrike-Falkeneinblick